Vụ việc được phát hiện vào ngày 23/11/2023, thời điểm 9 ngày sau khi những kẻ tấn công được cho là do nhà nước bảo trợ, đã sử dụng thông tin đăng nhập từng bị xâm phạm trong vụ tấn công mạng nhắm đến công ty ứng dụng xác thực Okta (Mỹ) xảy ra vào tháng 10/2023 để truy cập cơ sở dữ liệu và wiki nội bộ của Cloudflare.
Cloudflare cho biết, thông tin đăng nhập bị đánh cắp, mã thông báo truy cập và thông tin xác thực tài khoản dịch vụ đã không được xử lý triệt để sau sự cố Okta, cho phép tin tặc thăm dò và thực hiện trinh sát hệ thống Cloudflare bắt đầu từ ngày 14/11/2023. Những tin tặc đã truy cập được vào môi trường AWS, cũng như hai nền tảng của Atlassian là Jira và Confluence, nhưng vì chặn phân đoạn mạng đã ngăn chúng truy cập vào phiên bản Okta và bảng điều khiển Cloudflare của nó.
Với quyền truy cập vào nền tảng Atlassian, tin tặc bắt đầu tìm kiếm thông tin trên mạng Cloudflare và trên wiki những từ khóa như: “remote access”, “secret”, “client-secret”, “openconnect”, “cloudflared” và “token”. Tổng cộng 202 trang wiki đã được truy cập.
Ngày 22/11/2023, tin tặc đã cài đặt Sliver Adversary Emulation Framework để giành quyền truy cập liên tục vào máy chủ Atlassian, sau đó được sử dụng để di chuyển ngang hàng trong hệ thống mạng. Sau đó chúng đã cố gắng truy cập vào một máy chủ trung tâm dữ liệu tại São Paulo, Brazil và đã thực hiện tải 76 trong số 120 kho lưu trữ mã nguồn xuống máy chủ Atlassian, nhưng không thành công.
Đại diện phía Cloudflare lưu ý rằng: “76 kho lưu trữ mã nguồn hầu hết đều liên quan đến cách hoạt động của các bản sao lưu, cấu hình và quản lý mạng toàn cầu, cách nhận dạng hoạt động tại Cloudflare, truy cập từ xa và việc sử dụng Terraform và Kubernetes của chúng tôi. Một số lượng nhỏ các kho lưu trữ chứa các bí mật được mã hóa đã được điều chuyển ngay lập tức mặc dù bản thân chúng đã được mã hóa mạnh”.
Tin tặc đã sử dụng tài khoản dịch vụ Smartsheet để truy cập nền tảng Atlassian của Cloudflare và tài khoản này đã bị chấm dứt hoạt động vào ngày 23/11/2023, trong vòng 35 phút sau khi xác định được hành vi truy cập trái phép. Bên cạnh đó, tài khoản người dùng do tin tặc tạo ra đã được tìm thấy và vô hiệu hóa 48 phút sau đó.
Cloudflare đã đưa ra các tập luật tường lửa để ngăn chặn các địa chỉ IP đã biết của tin tặc và Sliver Adversary Emulation Framework đã bị xóa vào ngày 24/11/2023. Công ty cho biết: “Trong suốt khoảng thời gian này, các tin tặc đã cố gắng truy cập vô số hệ thống khác tại Cloudflare nhưng không thành công do các biện pháp kiểm soát truy cập, tập luật tường lửa và việc sử dụng khóa bảo mật cứng được thực thi bằng công cụ Zero Trust”.
Các nhà nghiên cứu đã không tìm thấy bằng chứng nào cho thấy các tin tặc đã truy cập vào dữ liệu mạng toàn cầu, cơ sở dữ liệu khách hàng, thông tin cấu hình, trung tâm dữ liệu, khóa SSL hoặc bất kỳ thông tin nào khác ngoại trừ dữ liệu các máy chủ chạy các nền tảng của Atlassian.
Vào ngày 24/11/2023, Cloudflare xác nhận rằng tin tặc không thể truy cập vào hệ thống của công ty nữa. Đồng thời, công ty sẽ tiếp tục điều tra mọi hệ thống, tài khoản và nhật ký để đảm bảo tin tặc không thể có quyền truy cập vào hệ thống được nữa.
Cloudflare cho biết mục tiêu của cuộc tấn công là đánh cắp thông tin về cơ sở hạ tầng của công ty, từ đó có khả năng duy trì sự bền vững trong hệ thống, đồng thời đánh giá: “Đây là một sự cố tấn công mạng liên quan đến một tác nhân tinh vi, có thể từ các nhóm tin tặc được nhà nước bảo trợ. Những nỗ lực mà Cloudflare đã thực hiện để đảm bảo rằng tác động hiện tại của vụ việc được hạn chế tối thiểu và chuẩn bị sẵn sàng nhằm chống lại bất kỳ các cuộc mối đe dọa nào khác trong tương lai”. Công ty an ninh mạng CrowdStrike (Mỹ) cũng đã thực hiện một cuộc điều tra riêng về vụ việc nhưng không phát hiện ra bằng chứng nào về sự thỏa hiệp bổ sung.
Thuỳ Anh
(Tổng hợp)
15:00 | 19/02/2024
15:00 | 26/01/2024
10:00 | 21/02/2024
08:00 | 08/01/2024
15:00 | 18/12/2023
15:00 | 25/03/2024
13:00 | 13/01/2025
Vào tháng 11/2024, Mi2 chính thức trở thành nhà phân phối độc quyền các sản phẩm của Blancco tại Việt Nam. Là công ty dẫn đầu toàn cầu về giải pháp xóa dữ liệu an toàn, Blancco mang đến cho các tổ chức/doanh nghiệp giải pháp bảo mật vượt trội, đáp ứng mọi tiêu chuẩn quốc tế về tẩy xoá dữ liệu.
13:00 | 14/11/2024
Công ty chuyên về bảo mật dữ liệu Fortanix (Hoa Kỳ) và Sectigo (Hoa Kỳ) nhà cung cấp giải pháp an ninh mạng toàn cầu mới đây vừa công bố hợp tác chiến lược nhằm nâng cao bảo mật chuỗi cung ứng phần mềm thông qua việc cấp chứng chỉ ký mã tự động.
10:00 | 27/10/2024
"Gã khổng lồ" thương mại điện tử Alibaba vừa giới thiệu phiên bản nâng cấp của công cụ dịch thuật trí tuệ nhân tạo (AI) Marco MT, với khả năng vượt trội hơn hẳn so với các đối thủ như Google, DeepL và ChatGPT.
15:00 | 23/10/2024
Trong thời đại số hóa hiện nay, giao dịch trực tuyến ngày càng phổ biến, việc bảo vệ thông tin cá nhân trở thành một yếu tố quan trọng hơn bao giờ hết. Trung tâm Thuốc Central Pharmacy đã tiên phong trong việc đảm bảo an toàn thông tin cho khách hàng khi được Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) trao tặng chứng nhận Website Tín nhiệm mạng cơ bản. Đây là minh chứng rõ nét cho cam kết của Central Pharmacy trong việc xây dựng một môi trường trực tuyến an toàn và bảo mật, mang đến sự yên tâm cho người dùng khi giao dịch dược phẩm trực tuyến.
Vào tháng 11/2024, Mi2 chính thức trở thành nhà phân phối độc quyền các sản phẩm của Blancco tại Việt Nam. Là công ty dẫn đầu toàn cầu về giải pháp xóa dữ liệu an toàn, Blancco mang đến cho các tổ chức/doanh nghiệp giải pháp bảo mật vượt trội, đáp ứng mọi tiêu chuẩn quốc tế về tẩy xoá dữ liệu.
13:00 | 13/01/2025